Re: problem z NAT
On Fri, Sep 03, 2010 at 10:10:54AM +0200, Mariusz Kruk wrote:
> On Thursday, 2 of September 2010, Miroslaw Kwasniak wrote:
> > sewer:
> >
> > echo 1 WWW_LOCAL >> /etc/iproute2/rt_tables
> > ip rule add from all fwmark 1 table WWW_LOCAL
> > ip route add default via $IP_BRAMA dev eth0 table WWW_LOCAL
> > iptables -I OUTPUT -t mangle -d $LOCAL_NET -p tcp --sport 80 -j MARK
> > --set-mark 1
>
> Ma szansę działać. Ale:
> 1) Jest IMHO bardziej zawiłe niż rozwiązanie ze SNAT (i w dwu miejscach, więc
> łatwiej coś przeoczyć). (i może być trudniejsze do zaimplementowania, jeśli na
> serwerze masz coś innego niż "normalny" linux - na przykład entkę, albo
> jakiegoś embedded)
Jest zawiłe, ale chyba jedyne jak nie chcesz zmieniać innych ustawień
serwera (bo ma inne usługi, które w lanie ma obsługiwać bezpośrednio).
W innym przypadku ładniejszym rozwiązaniem jest, aby serwer wszystko
routował via brama.
> 2) To rozwiązanie nie działa. W tablicy local masz wpis do lokalnej sieci
> bezpośrednio.
Jest jak jest, ale działanie sprawdziłem ;) :
Pakiety wychodziły z serwera z docelowym MAC bramy, a lokalny host
nawiązał połączenie z serwerem via brama.
U mnie wpis "do lokalnej sieci bezpośrednio" jest w tablicy main, a nie
w local. Jeżeli masz inaczej, to nie wiem skąd się to wzięło, bo ja
raczej przy tym nie grzebałem ;)
A kolejność tablic jest taka:
$ ip rule s
0: from all lookup local
32765: from all fwmark 0x1 lookup WWW_LOCAL
32766: from all lookup main
32767: from all lookup default
Reply to: